Cisco сообщила об эксплуатации уязвимости Catalyst SD-WAN Manager с повышением прав до root

Cisco раскрыла уязвимость CVE-2026-20245 в Cisco Catalyst SD-WAN Manager, ранее SD-WAN vManage. Пользователь с правами netadmin может через CLI загрузить специально подготовленный файл и выполнить произвольные команды от имени root. Исправления для этой уязвимости и обходных мер пока нет.

Cisco 4 июня опубликовала бюллетень по CVE-2026-20245 — уязвимости высокого уровня в Cisco Catalyst SD-WAN Manager, бывшем SD-WAN vManage. Ошибка находится в CLI и связана с недостаточной проверкой пользовательского ввода: атакующий, уже имеющий права netadmin на затронутой системе, может загрузить специально подготовленный файл и выполнить команды от имени root.

По данным Cisco, для эксплуатации нужны действительные учетные данные netadmin либо предварительное использование CVE-2026-20182 или CVE-2026-20127. Компания сообщает, что ей неизвестны другие успешные способы эксплуатации, но в июне Cisco PSIRT стало известно о случаях использования этой уязвимости; в ограниченном числе инцидентов эксплуатация приводила к изменению конфигурации на пограничных устройствах SD-WAN.

Cisco пока не выпустила обновление, устраняющее CVE-2026-20245, и не предлагает обходных мер. Компания рекомендует перейти на исправленные версии, указанные в майском бюллетене по CVE-2026-20182, а также проверить конфигурацию пограничных устройств.

Перед обновлением Cisco советует сохранить возможные индикаторы компрометации, выполнив команду request admin-tech на каждом управляющем компоненте SD-WAN-развертывания, и сохранить релевантные журналы. После обновления администраторам рекомендуется проверить логи, включая /var/log/scripts.log, и при признаках компрометации обратиться в Cisco TAC: одного обновления в таком случае может быть недостаточно.